组件漏洞 - XStream反序列化

  Xstream是一种OXMapping技术,是用来处理XML文件序列化的框架,将Java对象序列化为XML或将XML反序列化为Java对象
  XStream框架的反序列化漏洞在于其支持的某些转换器(如DynamicProxyConverter)允许攻击者通过构造包含特殊标签(如dynamic-proxy标签)的恶意XML,并通过handler标签指向可执行任意代码的类或对象,从而在反序列化过程中触发任意代码执行

漏洞场景

点击跳转后需要自行构造触发payload

缺陷代码

安全场景:黑名单

黑名单过滤

安全代码

安全场景:白名单

白名单过滤

tips
安全编码规范:
  1、升级方案:升级Xstream组件到1.4.17或最新版本
  2、非升级修复:1.4.10后可启动默认安全配置 setupDefaultSecurity()

安全代码